Persyaratan Layanan Federasi Direktori Aktif
Berikut ini adalah persyaratan untuk menyebarkan Layanan Federasi Direktori Aktif (AD FS):
Persyaratan sertifikat
Sertifikat TLS/SSL
Setiap layanan federasi direktori aktif dan server Proksi Aplikasi Web memiliki sertifikat TLS/SSL untuk melayani permintaan HTTPS ke layanan federasi. Web Proksi Aplikasi dapat memiliki sertifikat tambahan untuk melayani permintaan ke aplikasi yang diterbitkan.
Rekomendasi untuk Sertifikat TLS/SSL
Gunakan sertifikat TLS/SSL yang sama untuk semua server federasi LAYANAN Federasi Direktori Aktif dan proksi Aplikasi Web.
Persyaratan untuk Sertifikat TLS/SSL
Sertifikat TLS/SSL di server federasi harus memenuhi persyaratan berikut:
- Sertifikat dipercaya secara publik (untuk penyebaran produksi).
- Sertifikat berisi nilai Penggunaan Kunci yang Ditingkatkan (EKU) Autentikasi Server.
- Sertifikat berisi nama layanan federasi, seperti
fs.contoso.comdalam Subjek atau Nama Alternatif Subjek (SAN). - Untuk autentikasi sertifikat pengguna pada port 443, sertifikat berisi
certauth.\<federation service name\>, seperticertauth.fs.contoso.comdi SAN. - Untuk pendaftaran perangkat atau untuk autentikasi modern ke sumber daya lokal menggunakan klien pra-Windows 10, SAN harus berisi
enterpriseregistration.\<upn suffix\>untuk setiap akhiran Nama Prinsipal Pengguna (UPN) yang digunakan di organisasi Anda.
Sertifikat TLS/SSL di Proksi Aplikasi Web harus memenuhi persyaratan berikut:
- Jika proksi digunakan untuk mem-proksi permintaan LAYANAN Federasi Direktori Aktif yang menggunakan Autentikasi Terintegrasi Windows, sertifikat TLS/SSL proksi harus sama (gunakan kunci yang sama) dengan sertifikat TLS/SSL server federasi.
- Jika properti Layanan Federasi Direktori Aktif, ExtendedProtectionTokenCheck, diaktifkan (pengaturan default di Layanan Federasi Direktori Aktif), sertifikat TLS/SSL proksi harus sama (gunakan kunci yang sama) dengan sertifikat TLS/SSL server federasi.
- Jika tidak, persyaratan untuk sertifikat TLS/SSL proksi sama dengan persyaratan untuk sertifikat TLS/SSL server federasi.
Sertifikat Komunikasi Layanan
Sertifikat ini tidak diperlukan untuk sebagian besar skenario LAYANAN Federasi Direktori Aktif termasuk ID Microsoft Entra dan Office 365. Secara default, Layanan Federasi Direktori Aktif mengonfigurasi sertifikat TLS/SSL yang disediakan pada konfigurasi awal sebagai sertifikat komunikasi layanan.
Rekomendasi untuk Sertifikat Komunikasi Layanan
- Gunakan sertifikat yang sama seperti yang Anda gunakan untuk TLS/SSL.
Sertifikat Penandatanganan Token
Sertifikat ini digunakan untuk menandatangani token yang dikeluarkan kepada pihak yang mengandalkan, sehingga aplikasi pihak yang mengandalkan harus mengenali sertifikat dan kunci terkait seperti yang diketahui dan dipercaya. Ketika sertifikat penandatanganan token berubah, seperti ketika kedaluwarsa dan Anda mengonfigurasi sertifikat baru, semua pihak yang mengandalkan harus diperbarui.
Rekomendasi untuk Sertifikat Penandatanganan Token
Gunakan sertifikat penandatanganan token default, dibuat secara internal, dan ditandatangani sendiri.
Persyaratan untuk Sertifikat Penandatanganan Token
- Jika organisasi Anda mengharuskan sertifikat dari infrastruktur kunci publik perusahaan (PKI) digunakan untuk penandatanganan token, Anda dapat memenuhi persyaratan ini dengan menggunakan parameter SigningCertificateThumbprint dari cmdlet Install-AdfsFarm .
- Apakah Anda menggunakan sertifikat yang dihasilkan secara internal default atau sertifikat yang terdaftar secara eksternal, ketika sertifikat penandatanganan token diubah, Anda harus memastikan semua pihak yang mengandalkan diperbarui dengan informasi sertifikat baru. Jika tidak, pihak yang mengandalkan tidak dapat masuk.
Sertifikat Enkripsi/Dekripsi Token
Sertifikat ini digunakan oleh penyedia klaim yang mengenkripsi token yang dikeluarkan ke Layanan Federasi Direktori Aktif.
Rekomendasi untuk Enkripsi Token/Dekripsi Sertifikat
Gunakan sertifikat dekripsi token default yang dibuat secara internal dan ditandatangani sendiri.
Persyaratan untuk Enkripsi Token/Dekripsi Sertifikat
- Jika organisasi Anda mengharuskan sertifikat dari PKI perusahaan digunakan untuk penandatanganan token, Anda dapat memenuhi persyaratan ini dengan menggunakan parameter DecryptingCertificateThumbprint dari cmdlet Install-AdfsFarm .
- Apakah Anda menggunakan sertifikat yang dihasilkan secara internal default atau sertifikat yang terdaftar secara eksternal, ketika sertifikat dekripsi token diubah, Anda harus memastikan semua penyedia klaim diperbarui dengan informasi sertifikat baru. Jika tidak, masuk menggunakan penyedia klaim apa pun yang tidak diperbarui gagal.
Perhatian
Sertifikat yang digunakan untuk penandatanganan token dan dekripsi/enkripsi token sangat penting untuk stabilitas Layanan Federasi. Pelanggan yang mengelola sertifikat penandatanganan token & dekripsi/enkripsi token mereka sendiri harus memastikan bahwa sertifikat ini dicadangkan dan tersedia secara independen selama peristiwa pemulihan.
Sertifikat Pengguna
- Saat Anda menggunakan autentikasi sertifikat pengguna x509 dengan Layanan Federasi Direktori Aktif, semua sertifikat pengguna harus ditautkan ke otoritas sertifikasi akar yang dipercaya oleh layanan federasi direktori aktif dan server Proksi Aplikasi Web.
Persyaratan perangkat keras
Persyaratan perangkat keras AD FS dan Web Proksi Aplikasi (fisik atau virtual) terjaga pada CPU, jadi Anda harus mengukur farm Anda untuk kapasitas pemrosesan.
- Gunakan spreadsheet Perencanaan Kapasitas Layanan Federasi Direktori Aktif 2016 untuk menentukan jumlah layanan federasi direktori aktif dan server Proksi Aplikasi Web yang Anda butuhkan.
Persyaratan memori dan disk untuk Layanan Federasi Direktori Aktif cukup statis. Persyaratan diperlihatkan dalam tabel berikut:
| Persyaratan perangkat keras | Persyaratan minimum | Persyaratan yang direkomendasikan |
|---|---|---|
| RAM | 2 GB | 4 GB |
| Ruang disk | 32 GB | 100 GB |
Persyaratan Perangkat Keras SQL Server
Jika Anda menggunakan Azure SQL untuk database konfigurasi Layanan Federasi Direktori Aktif Anda, ukuran SQL Server sesuai dengan rekomendasi SQL Server yang paling mendasar. Ukuran database Layanan Federasi Direktori Aktif berukuran kecil, dan LAYANAN Federasi Direktori Aktif tidak menempatkan beban pemrosesan yang signifikan pada instans database. Layanan Federasi Direktori Aktif melakukan, bagaimanapun, menyambungkan ke database beberapa kali selama autentikasi, sehingga koneksi jaringan harus kuat. Sayangnya, SQL Azure tidak didukung untuk database konfigurasi LAYANAN Federasi Direktori Aktif.
Persyaratan proksi
Untuk akses ekstranet, Anda harus menyebarkan layanan peran Web Proksi Aplikasi - bagian dari peran server Akses Jarak Jauh.
Proksi pihak ketiga harus mendukung protokol MS-ADFSPIP untuk didukung sebagai proksi AD FS. Untuk daftar vendor pihak ketiga, lihat Tanya Jawab Umum (FAQ) tentang Layanan Federasi Direktori Aktif.
Layanan Federasi Direktori Aktif 2016 memerlukan server Proksi Aplikasi Web di Windows Server 2016. Proksi downlevel tidak dapat dikonfigurasi untuk farm AD FS 2016 yang berjalan di tingkat perilaku farm 2016.
Server federasi dan layanan peran Proksi Aplikasi Web tidak dapat diinstal pada komputer yang sama.
Persyaratan AD DS
Persyaratan pengendali domain
Layanan Federasi Direktori Aktif memerlukan pengendali Domain yang menjalankan Windows Server 2008 atau yang lebih baru.
Setidaknya satu pengontrol domain Windows Server 2016 diperlukan untuk Windows Hello untuk Bisnis.
Catatan
Semua dukungan untuk lingkungan dengan pengontrol domain Windows Server 2003 telah berakhir. Untuk informasi selengkapnya, lihat informasi siklus hidup Microsoft.
Persyaratan tingkat fungsi domain
Semua domain akun pengguna dan domain tempat server LAYANAN Federasi Direktori Aktif bergabung harus beroperasi di tingkat fungsi domain Windows Server 2003 atau yang lebih baru.
Tingkat fungsional domain Windows Server 2008 atau yang lebih baru diperlukan untuk autentikasi sertifikat klien jika sertifikat secara eksplisit dipetakan ke akun pengguna di AD DS.
Persyaratan skema
Penginstalan baru AD FS 2016 memerlukan skema Active Directory 2016 (minimum versi 85).
Meningkatkan tingkat perilaku farm Layanan Federasi Direktori Aktif (FBL) ke tingkat 2016 memerlukan skema Direktori Aktif 2016 (minimal versi 85).
Persyaratan akun layanan
Akun domain standar apa pun dapat digunakan sebagai akun layanan untuk Layanan Federasi Direktori Aktif. Akun Layanan Terkelola Grup juga didukung. Izin yang diperlukan saat runtime secara otomatis ditambahkan kembali saat Anda mengonfigurasi Layanan Federasi Direktori Aktif.
Penetapan Hak Pengguna yang diperlukan untuk akun layanan AD adalah Masuk sebagai layanan.
Penetapan Hak Pengguna yang diperlukan untuk dan menghasilkan audit keamanan dan Masuk sebagai layanan.
NT Service\drsNT Service\adfssrvAkun layanan terkelola grup memerlukan setidaknya satu pengendali domain yang menjalankan Windows Server 2012 atau yang lebih baru. Grup Akun Layanan Terkelola gMSA harus hidup di bawah kontainer default
CN=Managed Service Accounts.Untuk autentikasi Kerberos, nama perwakilan layanan '
HOST/<adfs\_service\_name>' harus terdaftar di akun layanan Layanan Federasi Direktori Aktif. Secara default, Layanan Federasi Direktori Aktif mengonfigurasi persyaratan ini saat membuat farm Layanan Federasi Direktori Aktif baru. Jika proses ini gagal, seperti jika ada tabrakan atau izin yang tidak mencukupi, Anda akan melihat peringatan dan Anda harus menambahkannya secara manual.
Persyaratan Domain
Semua server Layanan Federasi Direktori Aktif harus bergabung ke domain AD DS.
Semua server Layanan Federasi Direktori Aktif dalam farm harus disebarkan di domain yang sama.
Penginstalan node pertama farm Layanan Federasi Direktori Aktif bergantung pada ketersediaan PDC.
Persyaratan Multi Forest
Domain tempat server Layanan Federasi Direktori Aktif bergabung harus mempercayai setiap domain atau forest yang berisi pengguna yang mengautentikasi ke layanan Layanan Federasi Direktori Aktif.
Forest, yang merupakan anggota akun layanan Layanan Federasi Direktori Aktif, harus mempercayai semua forest masuk pengguna.
Akun layanan Layanan Federasi Direktori Aktif harus memiliki izin untuk membaca atribut pengguna di setiap domain yang berisi pengguna yang mengautentikasi ke layanan Layanan Federasi Direktori Aktif.
Persyaratan database konfigurasi
Bagian ini menjelaskan persyaratan dan batasan untuk farm Ad FS yang masing-masing menggunakan Database Internal Windows (WID) atau SQL Server sebagai database:
WID
Profil resolusi artefak SAML 2.0 tidak didukung di farm WID.
Deteksi pemutaran ulang token tidak didukung di farm WID. Fungsionalitas ini hanya digunakan dalam skenario di mana LAYANAN Federasi Direktori Aktif bertindak sebagai penyedia federasi dan menggunakan token keamanan dari penyedia klaim eksternal.
Tabel berikut ini menyediakan ringkasan berapa banyak server Layanan Federasi Direktori Aktif yang didukung di wid vs farm SQL Server.
| 1-100 RP Trusts | Lebih dari 100 RP Trusts |
|---|---|
| 1-30 Simpul Layanan Federasi Direktori Aktif: WID didukung | 1-30 Simpul Layanan Federasi Direktori Aktif: Tidak didukung menggunakan WID - Diperlukan SQL |
| Lebih dari 30 Simpul Layanan Federasi Direktori Aktif: Tidak didukung menggunakan WID - Diperlukan SQL | Lebih dari 30 Simpul Layanan Federasi Direktori Aktif: Tidak didukung menggunakan WID - Diperlukan SQL |
Server SQL
Untuk Layanan Federasi Direktori Aktif di Windows Server 2016, SQL Server 2008 dan versi yang lebih baru didukung.
Resolusi artefak SAML dan deteksi pemutaran ulang token didukung di farm SQL Server.
Persyaratan browser
Saat autentikasi Layanan Federasi Direktori Aktif dilakukan melalui browser atau kontrol browser, browser Anda harus mematuhi persyaratan berikut:
JavaScript harus diaktifkan.
Untuk akses menyeluruh, browser klien harus dikonfigurasi untuk mengizinkan cookie.
Indikasi Nama Server (SNI) harus didukung.
Untuk sertifikat pengguna & autentikasi sertifikat perangkat, browser harus mendukung autentikasi sertifikat klien TLS/SSL.
Untuk masuk tanpa hambatan menggunakan Autentikasi Terintegrasi Windows, nama layanan federasi (seperti
https:\/\/fs.contoso.com) harus dikonfigurasi di zona intranet lokal atau zona situs tepercaya.
Persyaratan jaringan
Persyaratan Firewall
Baik firewall yang terletak antara Proksi Aplikasi Web dan farm server federasi dan antara klien dan Proksi Aplikasi Web harus mengaktifkan port TCP 443 masuk.
Selain itu, jika Anda memerlukan autentikasi sertifikat pengguna klien (autentikasi clientTLS menggunakan sertifikat pengguna X509) dan Anda tidak mengaktifkan port 443 pada titik akhir certauth. LAYANAN Federasi Direktori Aktif 2016 mengharuskan Anda mengaktifkan port TCP 49443 masuk pada firewall antara klien dan web Proksi Aplikasi. Persyaratan ini tidak berlaku untuk firewall antara web Proksi Aplikasi dan server federasi.
Untuk informasi selengkapnya tentang persyaratan port hibrid, lihat Port dan Protokol yang Diperlukan Identitas Hibrid.
Untuk informasi selengkapnya, lihat Praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif
Persyaratan DNS
Untuk akses intranet, semua klien yang mengakses layanan Layanan Federasi Direktori Aktif dalam jaringan perusahaan internal (intranet) harus dapat menyelesaikan nama layanan Layanan Federasi Direktori Aktif ke penyeimbang beban untuk server AD FS atau server LAYANAN Federasi Direktori Aktif.
Untuk akses ekstranet, semua klien yang mengakses layanan Layanan Federasi Direktori Aktif dari luar jaringan perusahaan (ekstranet/internet) harus dapat menyelesaikan nama layanan Layanan Federasi Direktori Aktif ke penyeimbang beban untuk server Web Proksi Aplikasi atau server Web Proksi Aplikasi.
Setiap server Web Proksi Aplikasi di zona demiliterisasi (DMZ) harus dapat menyelesaikan nama layanan Layanan Federasi Direktori Aktif ke penyeimbang beban untuk server Layanan Federasi Direktori Aktif atau server AD FS. Anda dapat membuat konfigurasi ini dengan menggunakan server Sistem Nama Domain (DNS) alternatif di jaringan DMZ atau dengan mengubah resolusi server lokal menggunakan file HOSTS.
Untuk autentikasi Terintegrasi Windows, Anda harus menggunakan catatan DNS A (bukan CNAME) untuk nama layanan federasi.
Untuk autentikasi sertifikat pengguna pada port 443, "certauth.<nama> layanan federasi" harus dikonfigurasi di DNS untuk diselesaikan ke server federasi atau Proksi Aplikasi Web.
Untuk pendaftaran perangkat atau untuk autentikasi modern ke sumber daya lokal menggunakan klien pra-Windows 10,
enterpriseregistration.\<upn suffix\>, untuk setiap akhiran UPN yang digunakan di organisasi Anda, Anda harus mengonfigurasinya untuk diselesaikan ke server federasi atau web Proksi Aplikasi.
Persyaratan Load Balancer
- Load balancer tidak boleh menghentikan TLS/SSL. Layanan Federasi Direktori Aktif mendukung beberapa kasus penggunaan dengan autentikasi sertifikat, yang rusak saat mengakhiri TLS/SSL. Menghentikan TLS/SSL di load balancer tidak didukung untuk kasus penggunaan apa pun.
- Gunakan load balancer yang mendukung SNI. Jika tidak, menggunakan pengikatan fallback 0.0.0.0 pada layanan federasi direktori aktif atau server web Proksi Aplikasi Anda harus memberikan solusi.
- Gunakan titik akhir pemeriksaan kesehatan HTTP (bukan HTTPS) untuk melakukan pemeriksaan kesehatan load balancer untuk lalu lintas perutean. Persyaratan ini menghindari masalah yang berkaitan dengan SNI. Respons terhadap titik akhir pemeriksaan ini adalah HTTP 200 OK dan disajikan secara lokal tanpa ketergantungan pada layanan back-end. Pemeriksaan HTTP dapat diakses melalui HTTP menggunakan jalur '/adfs/probe'
http://<Web Application Proxy name>/adfs/probehttp://<AD FS server name>/adfs/probehttp://<Web Application Proxy IP address>/adfs/probehttp://<AD FS IP address>/adfs/probe
- Tidak disarankan untuk menggunakan DNS round robin sebagai cara untuk memuat keseimbangan. Menggunakan jenis penyeimbangan beban ini tidak menyediakan cara otomatis untuk menghapus simpul dari load balancer menggunakan pemeriksaan kesehatan.
- Tidak disarankan untuk menggunakan afinitas sesi berbasis IP atau sesi lengket untuk lalu lintas autentikasi ke LAYANAN Federasi Direktori Aktif dalam penyeimbang beban. Anda dapat menyebabkan kelebihan beban simpul tertentu saat menggunakan protokol autentikasi warisan untuk klien email agar tersambung ke layanan email Office 365 (Exchange Online).
Persyaratan izin
Administrator yang melakukan penginstalan dan konfigurasi awal LAYANAN Federasi Direktori Aktif harus memiliki izin administrator lokal di server Layanan Federasi Direktori Aktif. Jika administrator lokal tidak memiliki izin untuk membuat objek di Direktori Aktif, mereka harus terlebih dahulu meminta admin domain membuat objek AD yang diperlukan, lalu mengonfigurasi farm AD FS menggunakan parameter AdminConfiguration .